欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

程序员文章站 2022-03-29 11:53:04
SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿。两周前我们曾经预警过一个Samba远程代码执行漏洞,这款漏洞能够影响影响7年前的Samba版本,黑客可以利用漏洞进行远程代码...

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿。两周前我们曾经预警过一个Samba远程代码执行漏洞,这款漏洞能够影响影响7年前的Samba版本,黑客可以利用漏洞进行远程代码执行。更多漏洞原理及利用细节可以参考我们之前的报道。

由于具备与永恒之蓝相似的传播性,大家调侃地模仿WannaCry病毒,把漏洞取名为SambaCry。

果然,最近两拨研究人员纷纷表示他们发现了针对这个漏洞的攻击。

攻击详情

独立研究员Omri Ben Bassat将攻击命名为”EternalMiner”。因为在感染linux主机后它会利用主机资源进行挖矿。

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

卡巴斯基的研究人员则搭建了蜜罐观察网络环境中的SambaCry攻击情况。

研究人员发现,一伙黑客在漏洞公布后的一周就开始攻击Linux电脑,利用Samba漏洞入侵主机后,攻击者会通过上传恶意的链接库文件,实现远程代码执行,攻击者会安装“升级版”CPUminer,这是一款挖矿软件,用来挖取Monero数字货币。所谓的“升级”就是攻击将参数和自己的钱包放在了软件的硬编码中。

漏洞检测

为了检测目标主机是否含有漏洞,攻击者会进行一系列测试。首先他们会向主机写入一个含有八个随机符号的文本文件,以确认他们是否具有写入权限。

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

确认权限后,他们会上传两个payload文件,此时攻击者需要解决的问题是猜解文件上传后的路径。通过观察蜜罐捕捉的流量,我们可以看到他们从根目录开始猜,会用到各种配置说明书中提到的路径。

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

找到路径后,黑客就可以利用Samba漏洞执行刚才上传的两个payload文件了:

INAebsGB.so — 一个反弹shell

cblRWuoCc.so — 包含CPUminer 的后门软件

INAebsGB.so

这个链接库文件中包含一个非常简单的反弹shell,它会连接到攻击者指定的IP地址,然后反弹/bin/sh的shell。攻击者可以借此执行任何命令,下载运行软件,或者删除主机上的任何信息。

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

我们之前提到过,msf已经新增了专门针对这个Samba漏洞的模块。研究人员发现这个文件跟msf生成的文件很相似。

“通过系统中的反弹shell,黑客可以更改挖矿软件的配置,或者安装其他的恶意软件。”

cblRWuoCc.so

文件的主要功能是下载执行cpuminer,其实这是由一条硬编码的shell命令执行的,如下图所示:

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

下载的文件为minerd64_s,存储在/tmp/m目录下。

黑客月入4万

前文说到,攻击者把自己的钱包地址写在了软件中。事实上除了钱包地址,数字货币池的地址(xmr.crypto-pool.fr:3333)也写在了软件中,这个货币池就是给开源货币monero使用的。通过这些信息,卡巴斯基的研究人员获取到了黑客的资金收入:

SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿SambaCry真的来了,利用CVE-2017-7494漏洞来挖矿

根据转账记录,黑客在4月30日挖到了第一笔monero货币。第一天他们共获得1 XMR(约400人民币),上个礼拜他们每天获得5 XMR(约1625人民币)。随着攻陷的主机越来越多,黑客能够赚的钱也越来越多。经过一个月他们已经获得了98 XMR,按现在的汇率大约近4万人民币。

漏洞修复

Samba的维护人员已经在4.6.4/4.5.10/4.4.14版本中修复了相关漏洞。

如果暂时不能升级版本或安装补丁,可以使用临时解决方案:

在smb.conf的[global]板块中添加参数:

nt pipe support = no

然后重启smbd服务。

IoC

INAebsGB.so 349d84b3b176bbc9834230351ef3bc2a

cblRWuoCc.so 2009af3fed2a4704c224694dfc4b31dc

minerd64_s 8d8bdb58c5e57c565542040ed1988af9